工業和信息化部近日印發《工業互聯網創新發展行動計劃(2021-2023年)》(以下簡稱“行動計劃”),提出到2023年,我國工業互聯網新型基礎設施建設量質并進,新模式、新業態大范圍推廣,產業綜合實力顯著提升;新型基礎設施進一步完善、融合應用成效進一步彰顯、技術創新能力進一步提升、產業發展生態進一步健全、安全保障能力進一步增強。
《行動計劃》從工業互聯網創新發展的幾個方面入手,分別提出了切實可行的目標,明確了以下11項重點任務:網絡體系強基行動、標識解析增強行動、平臺體系壯大行動、數據匯聚賦能行動、新型模式培育行動、融通應用深化行動、關鍵標準建設行動、技術能力提升行動、產業協同發展行動、安全保障強化行動、開放合作深化行動。其中,安全保障能力增強是其它重點任務的底座和基礎,應在以下幾個方面引起關注。
在網絡體系強基行動中,工業企業需要對工業設備、企業內網、企業外網進行改造、升級、建設。我們在對工業現場“啞設備”進行網絡互聯能力改造,既要注意保護這些設備自身的數據安全,也要注意搭建工業互聯網過程中避免出現中、高危漏洞,這些漏洞可能帶來的風險包括拒絕服務攻擊、遠程命令執行、信息泄露等。
在平臺體系壯大行動中,部分企業針對設備、網絡、控制、應用和數據的防護措施尚未到位,對風險的識別、抵御和化解能力尚未形成,上線平臺基本處于“裸奔”狀態。我國工業互聯網平臺IaaS層發展成熟度較高,基礎設施相對完善,在數據安全方面已具備較為完備的安全解決方案。工業互聯網平臺PaaS層對工業數據的保護主要依賴于傳統的用戶鑒權管理,數據加密存儲和安全傳輸能力亟待增強。工業APP開發周期短,迭代頻繁,對數據安全考慮不足。工業企業連接平臺后未及時升級防護措施,數據保護意識薄弱。在工業企業自身防護能力普遍較弱的情況下,國家級管理體系和技術防護平臺的重要性和優先級更為凸顯。建設平臺過程中,由于企業對工業互聯網安全防護整體解決方案了解不足,對安全防護架構、措施、技術、產品最佳實踐知之甚少,因此需要依托國家級的防護平臺、解決方案和最佳實踐,開展相關試點示范工作,推動工業互聯網平臺安全防護體系建設。
在數據匯聚賦能行動中,通過大數據中心實現對數據統一管理和使用固然可以解決數據“孤島”的問題,我們需要在遵循等保2.0相關法律要求的基礎之上,明確數據收集、存儲、處理、轉移、刪除等環節安全保護要求,在加快推動數據資源開放共享和開發應用的同時,必須建立行之有效的數據安全保障體系,構筑適應工業互聯網數據發展的法規制度,健全工業互聯網數據時代信息安全新秩序。
在關鍵標準建設行動中,雖然我國工業互聯網發展頂層架構已經具備,但是工業互聯網安全技術防護體系和安全管理體系尚在建立過程中,相關政策文件和標準指南主要集中于工業控制系統安全領域,針對工業互聯網平臺安全接入、數據保護、平臺防護等方面的標準尚屬空白,平臺分級分類管理體制和方法尚未統一,我們需要摸索一個合適的安全評價體系。針對當前缺乏工業互聯網安全檢測評估標準的問題,我們可以通過對工業互聯網安全現狀、安全需求和攻防技術的深入調研,全面分析工業互聯網可能存在的安全隱患,確定工業互聯網安全審查、檢測和評估的方向和重點,梳理和細化安全審查和檢測評估內容,編制可量化、可操作的工業互聯網安全審查和檢測評估技術要求和測試評價方法相關標準。
在產業協同發展行動中,由于我國工業軟硬件自主研發實力不足,在高端裝備、工業控制系統、工業網絡和軟件領域的技術產業實力難以滿足安全防護需求,工業控制系統及工業軟硬件依賴國外技術產品。工業控制系統方面,工控MCU、DSP、FPGA等核心元器件技術與國外差距較大,SCADA、PLC、DCS、PCS等系統國外產品占領大部分國內市場。PLC絕大部分是法國施耐德、德國西門子等品牌,DCS的首選品牌則包括瑞典ABB、美國羅克韋爾等傳統品牌。工業軟硬件方面,超高精度機床主要來自日本、德國和瑞士。國外廠商憑借其全球品牌影響力,進入中國市場較早,已經形成持續性的產品服務生態和利益鏈,具備較強的市場競爭優勢。為推動工業互聯網科技創新與產業發展,我們需要產學研相結合,實現工業互聯網安全關鍵核心技術自主可控。而目前工業企業——廠商——科研機構的鏈條不暢,缺乏促進合作的相關項目。高校應注重開放創新,加強工業互聯網各類行業客戶、專業服務企業之間的協同合作,發揮其在所屬領域的知識經驗和資源優勢,形成一系列重量級工業應用。
在工業互聯網產業生態培育工程中,國內網絡安全人才存在較大缺口,且高度集中在北京、廣州、上海等一線城市,在安全需求分析和體系設計、安全態勢分析以及戰略法規制定方面的人才最為緊缺。而工業信息安全從業人員在數量和質量上與現實需求差距更大,服務支撐能力不足,相當一部分在企業端負責信息安全的管理人員是非專業出身,對工業控制系統的系統知識不甚了解,負責操作和維護工業控制系統的工程人員是其它相關專業轉行,對工業信息安全掌握不系統不到位。大多數工業企業現有安全領域從業人員不具備分析和解決工業信息安全問題的能力,在專業性上亟待提高。
2021-2023年是我國工業互聯網的快速成長期,《行動計劃》給出了我國工業互聯網這三年發展的11項重點任務,從政策上推動企業的工業化與信息化進一步融合發展。相信《行動計劃》將帶動我國企業信息化朝著更高、更深、更廣的方向發展。